In questi ultimi giorni sta facendo molto discutere il caso “Cambridge Analytica” venuto alla luce grazie alle recenti dichiarazioni di Cristopher Wylie, ex dipendente dell’azienda. Secondo quanto emerso, nel corso dell’ultima campagna elettorale per la presidenza USA, lo staff di Trump si è avvalso di statistiche ottenute mediante l’app “thisisyourdigitallife” presentato dalla Cambridge Analytica come strumento con finalità accademiche. In realtà, gli scopi del programma erano totalmente differenti, essendo indirizzati a ottenere una profilazione su larga scala dell’utenza, al fine di incentrare la campagna elettorale del candidato -risultato vincente- sui temi maggiormente sentiti dagli elettori. L’app, nel giro di pochi mesi ha totalizzato ben 270mila download, consentendo l’acquisizione dei dati personali, non solo di coloro che hanno scaricato direttamente il contenuto, ma anche dei loro contatti Facebook, arrivando a ottenere la profilazione di 50milioni di utenti, il tutto senza un consenso specifico e conforme alle finalità perseguite.

Quanto avvenuto in America, alla luce della normativa privacy europea, rivelerebbe infatti, la totale violazione di alcuni dei principi fondamentali del GDPR quali la trasparenza, il consenso, il trattamento dei dati in linea con le finalità per le quali sono raccolte le informazioni, situazione esacerbata dal larghissimo bacino di utenza. Per comprendere la gravità della questione è bene ricordare che la protezione degli interessati[1], in relazione al trattamento dei dati, è un diritto fondamentale dei cittadini europei[2].

Un trattamento conforme al GDPR, impone il rispetto dei principi di liceità, correttezza e trasparenza[3] mentre nel caso “Cambridge Analytica” emerge una situazione diametralmente opposta. Rivolgendo l’attenzione sulla tematica del consenso si palesano ulteriori criticità, infatti, secondo il Legislatore europeo, questo deve essere libero, specifico, informato e inequivocabile. Esso, inoltre, assume anche le vesti di condizione di liceità (tra le varie) del trattamento stesso, purché venga espresso per una o più specifiche finalità[4]. Anche su questo frangente il caso Americano si dimostra in totale antitesi con l’impianto normativo europeo, infatti, il consenso ottenuto era relativo a finalità accademiche non a questioni politiche. Alla luce di questa breve analisi, risulta evidente che qualora il caso fosse stato di interesse europeo, i trasgressori sarebbero incorsi in sanzioni salatissime, probabilmente vicine ai massimi previsti[5].

Il caso “Cambridge Analytica” dimostra quello che un trattamento dei dati personali “scorretto” può comportare, avvalorando l’introduzione del GDPR in ambito europeo, assolutamente necessaria a tutelare i cittadini in ogni aspetto della modernità 2.0.

[1] I soggetti che hanno visto trattati i loro dati personali

[2] Regolamento Europeo 679/2016 considerando 1: “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”

[3] ibidem art. 5 comma 1 lett. a)

[4] ibidem art.6 comma 1 lettera a: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni

[5] cfr. ibidem art.83 comma 2,4 e 5